반응형
urlscan_v31_x86.msi응답헤더 설정때문에 돌아버리는줄 알았다.
windows server2003서버 iis6.0에 asp.net2.0을 올려서 서비스 중이다. 와중에 보안감사가 와서 사진의 Server 정보가
노출돼는걸 처리하란다. 레지스트리를 만지면 됀다는데 아무리 만져도 안됀다. 그래서 온갖 삽질끝에 방법을 찾았다.
일단 UrlScan이라는 보안도구를 설치해야한다.
UrlScan구성방법 링크이다. 자세한 내용은 링크를 참조하고
해당파일은 첨부된 urlscan_v31_x86.msi를 다운받으면된다. 참고로 32비트버전이고 64비트버전도 있으니 링크를 참조해서
다운받을 것.
내쪽에서 필요한 조치내용은 다음과 같다.
urlscan설치 후 "C:\WINDOWS\system32\inetsrv\urlscan"폴더를 보면 UrlScan.ini파일이 있다.
RemoveServerHeader=0;으로 설정돼 있는데 RemoveServerHeader=1으로 변경해주면 된다.
그 외에 iis상에 asp.net버전이 노출돼기도 하는데 이런경우도 조치해주면 좋다.
web.config파일에
<httpRuntime enableVersionHeader="false" /> |
이부분을 설정해주면된다.
설치완료 후 iis를 재기동해주면 완료( cmd에서 iisreset)
- 한글 문제 처리
AllowHighBitCharacters 값을 0에서 1로 변경
- 특정 확장자 차단도 가능하다
아래와 같이 jpg, gif 를 추가하면 이 파일들은 웹사이트 상에서는 화면에 나타나지 않고 필터링된다.
[DenyExtensions]
.jpg
.gif